هکرها از آسیب پذیری های Microsoft Exchange برای حذف باج افزار بابوک استفاده می کنند

محققان امنیتی سیسکو اخیراً اطلاع دادند که یکی دیگر از سازمان‌های عامل تهدید، آسیب‌پذیری‌های مایکروسافت اکسچنج سرور را برای انتشار باج‌افزار «بابوک» هدف قرار داده است و برای انجام این کار، آسیب‌پذیری Proxy Shell را تقویت نکرده‌اند.

Proxy Shell یک اصطلاح کلی برای 3 آسیب پذیری Exchange Server است، با شناسه:

CVE-2021-34473
CVE-2021-34523
CVE-2021-31207

با این حال، تمام این 3 سرور تبادل متعلق به آسیب‌پذیری‌های زیر هستند که قبلاً توسط مایکروسافت در آوریل و می امسال اصلاح شده بود:
آسیب پذیری حمله برنامه از راه دور
آسیب پذیری‌های گسترش مجوز
عملکرد امنیتی دور زدن آسیب پذیری‌ها

با Microsoft Exchange شروع می شود

حمله باج افزار Babuk با یک DLL یا یک فایل اجرایی دات نت که با استفاده ازآسیب پذیری Proxy Shell بر روی سرور Exchange پایه گذاری شده است، آغاز می‌شود.

این آسیب‌پذیری در نهایت به «pastebin.pl» متصل می‌شود، و بعداً، یک پی‌لود را که درحافظه ذخیره می‌شود، دانلود می‌کند و سپس هکرها آن را به فرآیند NET Framework تزریق می‌کنند که در نهایت دستگاه را با باج‌افزار Babuk رمزگذاری می‌کند. مسیرهایی برای حذف ماژول‌های DLL و NET به دنبال کمپین Tortilla که در آن باج افزار Babuk توزیع شده است:
• تلاش برای جعل درخواست جستجوی خودکار Microsoft Exchange در سمت سرور
• تلاش برای اجرای کد از راه دور تزریق OGNL Atlassian Confluence
• تلاش برای اجرای کد از راه دور Apache Struts
• دسترسی به وردپرس wp-config.php از طریق تلاش برای پیمایش دایرکتوری
• تلاش برای دور زدن احراز هویت SolarWinds Orion
• تلاش برای اجرای فرمان از راه دور Oracle WebLogic Server
• تلاش برای جداسازی اشیاء جاوا دلخواه Liferay

بنابراین، برای جلوگیری از سوء استفاده از سرورها در حملات، اکیداً به مدیران توصیه می‌شود که سرورهای خود را به آخرین نسخه ارتقا دهند.

استثمار بابوک
در ابتدا، Babuk Locker یک عملیات باج‌افزاری است که کسب‌وکارها را هدف قرار می‌دهد و بعداً عوامل تهدید، داده‌های آنها را در حملات اخاذی مضاعف رمزگذاری می‌کنند. عوامل تهدید استفاده از باج افزار را با انگیزه انجام حملات برنامه ریزی شده خود آغاز کرده‌اند و همه اینها زمانی مورد توجه قرار گرفت که اولین نسخه باج افزار Babuk و سازنده آن در انجمن‌های هک فاش شد.

کارشناسان امنیتی اعلام کردند که باج‌نامه‌ای که در این حملات استفاده شده است، مبلغ 10000 دلار پایینی را در مونرو درخواست کرده است، اما اعلام شده است که عملیات اصلی Babuk انجام نشده است زیرا باج‌افزار اصلی در بیت‌کوین درخواست شده است.

هکرها آمریکا را هدف قرار دادند
در این رویداد که تورتیلا نامیده می‌شود، هکرها حملاتی را در کشورهایی مانند آلمان، تایلند، برزیل و بریتانیا هدف قرار دادند و بیشتر اهداف تورتیلا مستقر در آمریکا هستند. در حالی که آدرس‌های IP یافت شده در این حملات در مسکو، روسیه قرار داشتند و به همین دلیل است که به وضوح منشأ این حملات را مشخص می‌کند. علاوه بر این، تحلیلگران امنیتی همچنین متوجه شدند که کارکنان فناوری اطلاعات شرکت امنیت چند سطحی ایجاد می‌کنند و نه تنها این، بلکه از محصولات تحلیل رفتاری نیز استفاده می‌کنند تا بتوانند به راحتی تهدیدات را شناسایی کرده و از نقاط پایانی و Exchange Server محافظت کنند.

منبع: پلیس فتا

همایش مجازی بررسی و تحلیل حمله های سایبری به زیرسا...

مطالب مرتبط

By accepting you will be accessing a service provided by a third-party external to https://behinrahkar.com/